Art. 21(2)(c) NIS 2 + CIR §4.2

Strategia di backup NIS 2 ai sensi dell'articolo 21(2)(c)

NIS 2 stabilisce che dovete mantenere l'attività in funzione durante e dopo un incidente. L'articolo 21(2)(c) nomina la gestione dei backup, il ripristino in caso di disastro e la gestione delle crisi. Il CIR (UE) 2024/2690 §4.2 lo trasforma in un piano di backup documentato, test di ripristino regolari e ridondanza.

Simon OrzelSimon Orzel·

La versione breve

Il backup in NIS 2 non è 'abbiamo dei backup'. Ogni reparto IT del Mittelstand ha job notturni su nastro o snapshot. La domanda che la direttiva e il CIR pongono davvero è se avete un piano documentato, con tempi di ripristino, archiviazione fuori sede, controlli di accesso, periodi di conservazione e una capacità testata di riportare in funzione i sistemi.

Il CIR §4.2 ha sei parti. Un piano di backup con sei punti nominati. Test di integrità regolari. Ridondanza di rete, asset, personale e comunicazioni. Monitoraggio delle risorse. E test di ripristino regolari con risultati documentati. Tutte e sei stanno in un'unica sezione dell'allegato. Nessuna di esse è facoltativa.

La Germania recepisce la stessa regola nel diritto nazionale tramite il §30(2)(3) BSIG. La formulazione recepisce l'articolo 21(2)(c) quasi parola per parola. Questa pagina percorre la direttiva, il regolamento di attuazione UE e il recepimento tedesco in quest'ordine.

La fonte giuridica
Tre livelli sovrapposti uno sull'altro. La direttiva (vincolante per ogni Paese UE). Il regolamento di attuazione (diritto UE direttamente applicabile per i settori indicati nell'allegato). Il recepimento nazionale (in Germania: BSIG).

Articolo 21(2)(c) della direttiva NIS 2 (2022/2555)

Continuità operativa, ad esempio la gestione dei backup e il ripristino in caso di disastro, e gestione delle crisi.

Questo è il punto (c) dell'elenco delle dieci misure di cibersicurezza che ogni soggetto essenziale e importante deve attuare. La gestione dei backup è nominata direttamente nel testo della direttiva, non solo sepolta nel regolamento di attuazione.

CIR (UE) 2024/2690, allegato §4.2

Gestione dei backup, della salvaguardia e della ridondanza. Ai fini dell'articolo 21, paragrafo 2, lettera c), della direttiva (UE) 2022/2555, i soggetti interessati effettuano backup e prevedono risorse sufficienti, comprese strutture, sistemi informativi e di rete e personale, per garantire un livello adeguato di ridondanza.

Poiché si tratta di un regolamento (non di una direttiva), è diritto UE direttamente vincolante. Non serve alcun recepimento nazionale. Il §4.2 ha sei sottosezioni numerate che coprono il piano di backup, i test di integrità, la ridondanza, il monitoraggio delle risorse e i test di ripristino. Si applica ai fornitori di DNS, ai fornitori di cloud, ai centri dati, agli MSP, ai servizi fiduciari e agli altri settori elencati nell'allegato del CIR.

§30(2)(3) BSIG (Germania)

Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement.

La Germania copia il testo UE parola per parola. Il recepimento tedesco indica i moduli IT-Grundschutz CON.3 (Datensicherungskonzept) e DER.2.3 (Wiederherstellung) come via pratica all'attuazione.

Le tre cose che il CIR §4.2 effettivamente richiede
Il CIR 2024/2690 suddivide la gestione dei backup e della ridondanza in tre parti: il piano scritto, i test e la ridondanza delle risorse. Servono tutte e tre.
§4.2.2

Scrivere il piano di backup in sei punti

Sulla base della vostra valutazione del rischio e del BCP, mettete per iscritto: (a) i tempi di ripristino, (b) come assicurate che i backup siano completi e accurati, compresi i dati di configurazione e i dati archiviati in cloud, (c) dove risiedono i backup (online o offline) in una o più ubicazioni sicure, non nella stessa rete del sistema primario, abbastanza lontane perché un incidente al sito primario non li abbatta, (d) controlli di accesso fisici e logici scalati sulla classificazione dell'asset, (e) come avviene effettivamente il ripristino dai backup, (f) i periodi di conservazione per requisiti aziendali e regolamentari.

§4.2.3 + §4.2.6

Testare integrità e ripristino a cadenza

Il §4.2.3 richiede test di integrità regolari dei backup stessi. Il §4.2.6 va oltre: test regolari del processo di ripristino effettivo. Verificate che il ripristino sia affidabile, che tutte le copie e le procedure funzionino e che le persone che eseguirebbero il ripristino conservino ancora le conoscenze per farlo. Documentate i risultati. Adottate azioni correttive quando un test fallisce.

§4.2.4

Costruire ridondanza su quattro risorse

Sulla base della vostra valutazione del rischio e del BCP, garantite almeno una ridondanza parziale di: (a) sistemi informativi e di rete, (b) asset e valori, comprese sedi, attrezzature e materiali di consumo, (c) personale con la responsabilità, l'autorità e la competenza richieste, (d) canali di comunicazione. Il backup riguarda i dati. La ridondanza riguarda tutto il resto di cui avete bisogno per continuare a operare.

Due regole che plasmano tutto il resto
Due regole di base stanno sotto il §4.2. Entrambe derivano direttamente dal testo del regolamento. Entrambe vengono regolarmente tralasciate.

Backup e ridondanza insieme

Il CIR §4.2 li nomina entrambi nello stesso titolo di sezione: 'Gestione dei backup, della salvaguardia e della ridondanza'. I backup proteggono i dati così che possiate ricostruire da una copia integra nota. La ridondanza protegge le operazioni così che non vi fermiate in primo luogo. Entrambi rientrano nel piano. Un team che ha backup ma nessuna ridondanza riottiene i dati e ancora non può operare.

Testato, non solo eseguito

Il §4.2.6 richiede specificamente test di ripristino regolari, non solo backup regolari. Un backup da cui nessuno ha mai ripristinato non è una capacità di ripristino, è una speranza. L'auditor chiederà quando avete eseguito l'ultimo ripristino completo, chi lo ha condotto, cosa è fallito e cosa avete corretto dopo. Se la risposta è 'all'installazione, tre anni fa', avete un rilievo.

Come le autorità nazionali gestiscono effettivamente tutto questo
L'UE fissa la regola. Ogni Paese la recepisce. La sostanza è la stessa. Le modalità operative locali differiscono un po'.
Germania

BSI / IT-Grundschutz CON.3 + DER.2.3

L'IT-Grundschutz del BSI ha due moduli che si mappano direttamente sul CIR §4.2. CON.3 'Datensicherungskonzept' copre il concetto di backup stesso (cosa viene sottoposto a backup, ogni quanto, dove risiedono le copie, conservazione). DER.2.3 'Notfallwiederherstellung der IT' copre il lato del ripristino (procedure, ruoli, test di ripristino). Insieme vi danno il pacchetto di prove del §4.2 in un linguaggio che un auditor tedesco legge ogni giorno.

A livello UE

Guida tecnica all'attuazione dell'ENISA

La TIG dell'ENISA prende il testo astratto del §4.2 e vi mostra cosa fare in pratica per ogni sottosezione. Mappa inoltre il requisito su ISO/IEC 27001:2022 Allegato A.8.13 (backup delle informazioni) e A.8.14 (ridondanza delle strutture di trattamento delle informazioni). I controlli ISO 27001 esistenti vi danno un vantaggio iniziale sulle prove del §4.2.

Altri Stati membri

Leggi nazionali di recepimento

Ogni Stato membro recepisce l'articolo 21(2)(c) nella propria legge (Paesi Bassi: Cyberbeveiligingswet, Austria: NISG, Belgio: NIS2-Wet). Gli obblighi sono gli stessi perché la direttiva fissa un unico standard valido in tutta l'UE. Ciò che differisce: a quale agenzia nazionale rispondete e come conducono le ispezioni.

Tre trappole che vediamo continuamente
Tre assunti che emergono in quasi ogni chiamata di preparazione all'audit. Tutti e tre creano lacune che un auditor troverà.

  • Eseguiamo backup notturni, quindi siamo coperti.

    I backup notturni sono necessari, non sufficienti. Il §4.2.2(c) li vuole archiviati fuori sede, non sulla stessa rete del sistema primario, e abbastanza lontani perché un singolo incidente non possa abbattere entrambi. Il §4.2.2(f) vuole periodi di conservazione documentati, non 'li teniamo finché il disco non si riempie'. Il §4.2.6 vuole una cadenza regolare di test di ripristino con risultati documentati. L'auditor chiederà tutti e tre. 'Abbiamo dei backup' risponde a uno solo di essi.

  • Abbiamo testato il ripristino una volta, quando abbiamo configurato il sistema.

    Il §4.2.6 stabilisce test regolari, non test una tantum. Un test di tre anni fa non prova che il formato di backup di oggi, la procedura di ripristino di oggi e le persone di oggi funzionino ancora insieme. Scegliete una cadenza (trimestrale o semestrale per i sistemi critici, annuale per il resto), mettetela per iscritto nel piano, eseguitela, documentate ogni test.

  • Eseguiamo il backup dei dati; le configurazioni possiamo ricostruirle da zero.

    No. Il §4.2.2(b) richiede esplicitamente che il backup sia completo e accurato, 'compresi i dati di configurazione, compresi i dati archiviati in ambienti di cloud computing'. Un database senza la configurazione dell'applicazione, le regole del firewall e le impostazioni del provider di identità non è un sistema ripristinabile, è un mucchio di record a cui non potete accedere. Il piano deve coprire le configurazioni e i dati archiviati in cloud, non solo le tabelle di produzione.

Come gli operatori reali del Mittelstand fanno effettivamente questo

Ciò che vediamo in pratica: la maggior parte del Mittelstand ha backup. La maggior parte ha job notturni che girano verso un NAS o un bucket cloud. Ciò che tipicamente manca è il piano documentato del §4.2.2 con i tempi di ripristino per sistema, l'ubicazione nominata di archiviazione fuori sede, i controlli di accesso fisici e logici per iscritto, i periodi di conservazione per sistema e regolatore e il calendario dei test di ripristino. Il job di backup esiste; il piano attorno a esso no.

La correzione è piccola. Scrivete una volta il piano in sei punti del §4.2.2, approvatelo e mettete un test di ripristino in calendario (trimestrale per i sistemi critici, semestrale o annuale per il resto). Dopo il primo ciclo di test, avete il pacchetto di prove che il regolamento richiede. La parte difficile non è la tecnologia. La parte difficile è avere il piano su carta e il test in calendario.

Come gestiamo questo sulla piattaforma

Il modulo BCP acquisisce il piano di backup in sei punti del §4.2.2, il calendario dei test di ripristino, il registro della ridondanza per rete, asset, personale e comunicazioni e i risultati dei test di ripristino con approvazione. Un solo modulo copre dal §4.2.2 al §4.2.6.

I test sono compiti pianificati, non promemoria a testo libero. Quando viene eseguito un test di ripristino, il risultato, le lacune e le azioni correttive vengono acquisiti rispetto allo stesso record. La pista di controllo risponde poi a 'quando avete testato l'ultima volta il ripristino, cosa è fallito, cosa avete fatto al riguardo' in un clic. Nessun registro dei test separato da mantenere.

Fonti
  • Direttiva (UE) 2022/2555 (NIS 2), articolo 21(2)(c) — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Regolamento di esecuzione (UE) 2024/2690 della Commissione (CIR), allegato §4.2 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • Legge BSI (BSIG), §30(2)(3) come modificato dalla legge di attuazione di NIS2 e di rafforzamento della cibersicurezza
  • BSI IT-Grundschutz Baustein CON.3 'Datensicherungskonzept' — bsi.bund.de/grundschutz
  • BSI IT-Grundschutz Baustein DER.2.3 'Notfallwiederherstellung der IT' — bsi.bund.de/grundschutz
  • Guida tecnica all'attuazione dell'ENISA per il CIR (UE) 2024/2690 (al maggio 2026)
Gestite backup e ridondanza senza una pila di documenti separata
Piano in sei punti, calendario dei test, registro della ridondanza e prove dei test di ripristino su un'unica piattaforma. Gratuito, open source, nessun lock-in.
Apri la piattaforma gratuita